Il Regolamento UE n. 679/2016 - tra i cui obiettivi vi è il superamento della frammentazione nell’ambito della protezione dei dati personali, realizzatasi nel territorio dell’Unione con l’applicazione della direttiva 95/46/CE - non ha modificato i principi generali in materia di trattamento dei dati personali, che sono rimasti essenzialmente quelli della normativa precedente.

Una indubbia novità consiste nel venir meno di adempimenti rigidamente prefissati, quali la notifica al Garante di alcuni trattamenti o le misure minime di sicurezza, in favore del principio di responsabilizzazione o accountability, secondo cui spetta al titolare del trattamento valutare l’applicazione, nel suo specifico caso, dei principi e delle regole di trattamento dei dati personali, tenendo conto anche del rischio che il trattamento presenta per i diritti e le libertà delle persone fisiche interessate.

Il Regolamento riconosce, in certi casi, che l’attuazione delle misure ritenute più idonee può tenere conto dei costi e dei tempi che esse richiedono.

Espressione dello stesso principio è che il titolare deve essere in grado di dimostrare, anche di fronte agli organi preposti al controllo (in Italia, il nucleo speciale della Guardia di finanza), di avere compiuto correttamente tale valutazione.

Infine, il titolare deve essere in grado di rispondere alle richieste degli interessati circa i loro dati (artt. 15-22 del Regolamento).

Il mancato adempimento della normativa comporta il rischio di sanzioni amministrative e penali, ora anche molto elevate nella loro misura massima, oltre che di azioni risarcitorie da parte degli interessati.

In questa ottica si spiega l’obbligo, che il Regolamento ha introdotto (salvo in casi residuali), di predisporre un documento – il registro dei trattamenti - che fornisca la sintetica rappresentazione dei processi aziendali nei quali viene in rilievo il trattamento dei dati personali (art. 30).

Il registro dei trattamenti

L’obbligo di tenere il registro riguarda il titolare e, se presenti, il responsabile ed il rappresentante.

Il responsabile è il soggetto che tratta dati personali per conto del titolare del trattamento, mentre il rappresentante deve essere designato dal titolare o dal responsabile non stabiliti nell’UE, qualora effettuino determinati trattamenti di dati personali di interessati che si trovano nell’UE.

Nel registro devono essere indicati:

- i dati del titolare (e, se del caso, quelli del responsabile o del rappresentante);

- le categorie di soggetti interessati e loro dati;

- le finalità del trattamento;

- i possibili destinatari dei dati;

- i possibili trasferimenti di dati verso un paese terzo (al di fuori dello Spazio Economico Europeo);

- la durata della conservazione dei dati;

- le misure di sicurezza adottate.

Il registro, purché contenente le indicazioni prescritte, può essere redatto come si ritiene più opportuno, sempre nell’ottica di una facile intellegibilità ed aggiornamento.

Per le PMI, il Garante ha fornito un modello di tipo schematico, anche in formato Excel.

Di seguito si abbozza, con riferimento ad una piccola impresa operante in campo industriale, la descrizione dei trattamenti (interessati, tipo di dati, finalità del trattamento) e la compilazione delle singole voci di dettaglio relative a ciascun trattamento (destinatari, trasferimento all’estero, tempo di conservazione).

Il Garante raccomanda di indicare, nel contesto delle finalità del trattamento, anche la base giuridica dello stesso, ai sensi dell’art. 6 del Regolamento: consenso dell’interessato, obbligo legale, esecuzione di un contratto di cui l’interessato è parte, etc..

- Dati dei dipendenti e collaboratori

Il trattamento riguarda i dati comuni (anagrafici, bancari, etc.) ed eventualmente, in quanto necessari per la predisposizione delle buste paga, quelli che erano denominati “sensibili” ed ora rientrano nelle “categorie particolari di dati personali” (art. 9 Reg.): iscrizione a sindacato, appartenenza a categorie protette, etc..

Va menzionato nel registro il fatto che l’accesso nei locali aziendali sia effettuato mediante l’uso di badge.

La finalità del trattamento è l’esecuzione del contratto di lavoro e l’assolvimento dei connessi obblighi di legge, come espresso nell’informativa sul trattamento che viene rilasciata ai dipendenti.

Destinatari dei dati (cioè coloro ai quali i dati possono essere comunicati) sono:

i) i fornitori e professionisti esterni che si occupano di: IT, adempimenti di sicurezza sul lavoro, salute dei dipendenti, adempimenti giuslavoristici, fiscali e contabili, problematiche legali e giudiziali, gestione della qualità;  

ii) consolati e ambasciate (in relazione a eventuali trasferte), clienti, fornitori, enti di formazione (per esigenze gestionali o di partecipazione a corsi di formazione);

iii) Agenzia delle entrate, istituti bancari e assicurativi;

In caso di invio di personale in stati al di fuori dello Spazio Economico Europeo, va specificato quali sono le garanzie adottate per il trasferimento di dati. Per tale aspetto, particolarmente delicato e complesso, potrà essere stabilita una apposita procedura.

Il termine di conservazione è quello della durata del rapporto di lavoro/collaborazione, aumentato del tempo di maturazione della prescrizione (10 anni), limitatamente ai dati che potrebbero essere necessari per dimostrare il corretto adempimento degli obblighi incombenti sul titolare (es. tutela della salute del dipendente/collaboratore, versamento di tasse e contributi).

Inoltre, il datore di lavoro deve conservare la cartella sanitaria e di rischio del lavoratore, ove presente, per 10 anni dalla cessazione del rapporto (D.Lgs. n. 81/08, art. 25).

Un ricorrente aspetto del trattamento in esame, di cui il registro deve dare atto, è utilizzo, da parte del dipendente/collaboratore, di dispositivi informatici ed elettronici e di casella email forniti dal titolare. Con riferimento al trattamento di dati che può derivarne - di particolare delicatezza perché le informazioni trattate possono riguardare, oltre all'attività lavorativa, la sfera personale e la vita privata di lavoratori e di terzi - il registro potrà rinviare ad un apposito regolamento aziendale, in cui siano state recepite le indicazioni del Garante in tale materia (v. Linee Guida del Garante per posta elettronica e internet – Delibera 1/3/2007 e successivi provvedimenti).

- Dati di clienti e fornitori

I dati personali sono quelli di:

i) titolari di ditte individuali;

ii) amministratori di società ed enti;

iii) persone fisiche che rivestono ruoli “di contatto esterno” in società ed enti.

Ci si riferisce ai dati che vengono normalmente scambiati nei rapporti contrattuali e precontrattuali tra clienti e fornitori: dati anagrafici, telefonici, email, eventualmente fiscali e bancari (nel caso di ditte individuali).

La finalità del trattamento è la conclusione ed esecuzione del rapporto contrattuale.

Deve essere specificata la base giuridica del trattamento, che, per le ditte individuali, è l’esecuzione di un contratto di cui è parte l’interessato, cioè il titolare della ditta (o l’esecuzione di misure precontrattuali adottate su richiesta dello stesso), mentre per le persone che appartengono a società ed enti clienti/fornitori è il legittimo interesse del titolare del trattamento.

Una apposita informativa a clienti e fornitori potrebbe essere inserita in calce alle email.

Per quanto riguarda il tempo di conservazione dei dati:

i) i documenti contabili devono essere conservati per 10 anni (art. 2220 c.c.);

ii) i documenti relativi alle commesse, che possono contenere, ad esempio, nominativi e numeri telefonici, devono essere conservati ai fini della garanzia sul prodotto o servizio; tuttavia, al termine legale di prescrizione dell’azione di garanzia (1 anno per la vendita, 2 per l’appalto) si sovrappone quello, più lungo, delle garanzie contrattuali e, in caso di contestazione, il tempo per il quale la posizione rimane controversa.

Vanno considerate, inoltre, le esigenze di conservazione, anche di tipo tecnico-commerciale, in vista di possibili nuovi contratti con lo stesso cliente/fornitore.

Pertanto, si può ipotizzare:

·         la conservazione sine die dei documenti contrattuali (o almeno per un tempo pari a quella dei documenti contabili);

·         l’immediata eliminazione, per quanto possibile, dei dati personali superflui (es. numeri telefonici), anche da rubriche aziendali se esistenti;

·         nei casi in cui la documentazione di commessa contiene dati personali rilevanti, scadenzare la loro eliminazione una volta decorsi i termini prescrizionali relativi alla singola commessa.

- Videosorveglianza

Nel registro si deve dare atto anche della eventuale presenza dell’impianto di videosorveglianza, anche ove esso si attivi solo in assenza dei dipendenti, con l’inserimento dell’allarme, e pertanto non possano essere individuati a priori i soggetti interessati dal trattamento.

Come finalità andrà indicata la “tutela del patrimonio aziendale”, mentre la base giuridica del trattamento è il legittimo interesse del titolare.

Le voci relative a: informativa, termine di conservazione e misure di sicurezza possono venire compilate mediante rinvio al documento riguardante il sistema di videosorveglianza, se presente.

- Sito web

Nel registro andrà indicato il trattamento di dati che ne deriva, relativo anche alla possibilità di inserire il proprio nominativo per candidarsi al lavoro.

Le effettive finalità del trattamento andranno inserite nel registro, che è da completarsi anche per le altre voci applicabili:

·         la base giuridica del trattamento, che è l’esecuzione di misure precontrattuali richieste dall’interessato;

·         il tempo di conservazione dei dati, che potrebbe essere ripreso dall’informativa usata in caso di ricevimento di cv spontanei via email.

Si evidenzia anche la problematica legata all’eventuale utilizzo di immagini di dipendenti o altre persone.

Altri adempimenti

- Il Regolamento ha introdotto l’obbligo di segnalare al Garante e agli interessati ogni violazione, dolosa o accidentale, dei loro dati (“data breach”), a prescindere dal fatto che ciò abbia causato un concreto pregiudizio.

- La normativa in materia di trattamento dati definisce “responsabile” il soggetto che, sulla base di un incarico scritto, tratta per conto del titolare i dati personali. Normalmente, assume la veste di responsabile il fornitore o consulente, il cui servizio implichi di per sé un trattamento di dati nell’interesse del titolare (es. consulente IT, del lavoro, etc.).

Per la nomina del responsabile, spesso avviene che siano utilizzati moduli predisposti dal fornitore/consulente nel corpo della propria offerta contrattuale, dei quali deve essere verificata la conformità al Regolamento, che prevede in modo dettagliato il contenuto dell’accordo tra titolare e responsabile.

- I soggetti che trattano i dati personali per conto del titolare a livello operativo devono sempre ricevere delle istruzioni scritte, oltre che essere opportunamente formati.